Las botnets resultan ser muy útiles para los atacantes malintencionados que realizan ataques de ciberseguridad. Ebury es uno de esos botnets maliciosos que ha estado preocupando a los servidores Linux desde 2009.
Incluso después de quince años, sigue existiendo, evolucionando y utilizando nuevas tácticas.
Los investigadores de ESET publicaron un nuevo informe que describe cómo el malware infecta un servidor y las medidas para evitar que se propague.
¿Qué es la botnet Ebury y cuál es su impacto?
La botnet Ebury es una red de dispositivos infectados con un malware conocido como Ebury, que principalmente afecta servidores Linux y Unix. Este malware es un backdoor (puerta trasera) que permite a los atacantes obtener acceso remoto no autorizado a los sistemas comprometidos
En 15 años, Ebury se infiltró con éxito en más de 400.000 servidores Linux. No es un número pequeño, pero ESET dice que sólo el 25 por ciento está comprometido. Eso significa que casi 100.000 servidores todavía están infectados y desconocen la presencia de Ebury.
La evolución de Ebury
Pero con el tiempo, los honeypots se han vuelto ineptos a la hora de reaccionar ante la infección de Ebury. En uno de esos incidentes, el malware envió descaradamente un mensaje de «Hola ESET honeypot».
El malware está mejorando en la identificación de honeypots, lo que dificulta la tarea a los investigadores.
A Ebury le encanta dirigirse a proveedores de hosting porque abren puertas a múltiples servidores. En lugar de perseguir a un servidor, les resulta atractivo capturar y espiar en varios servidores.
ESET alquiló un servidor virtual y Ebury lo infectó en menos de una semana.
A los piratas informáticos también les encanta interceptar el tráfico y redirigir a los usuarios a servidores que capturan credenciales. Los nodos de criptomonedas son objetivos principales porque obtienen acceso a las credenciales de la billetera y luego transfieren el dinero.
El malware es excepcionalmente bueno para cubrir huellas. Utiliza nuevas técnicas de ofuscación para ocultarse de los ojos del administrador.
Para obtener más información sobre el malware, consulte el artículo de investigación oficial . También puedes probar un script de detección de Ebury que está disponible en GitHub.
Fuente: Eset
